Mac OS X Lionでは一般ユーザーでもshadow化されたパスワードにアクセスできる

2011年9月20日 19:00

insiderman 曰く、  yebo blogによると、Mac OS X 10.7 Lionでは、一般ユーザーでもshadow化されたユーザーのパスワードにアクセスできてしまうそうだ。

 shadow化というのは、ハッシュ化されたパスワードを特権ユーザー以外には見えないようにすることで保護する仕組み。Mac OS XではLinuxなどのように/etc/shadowファイルにハッシュを保存するのではなく、ディレクトリサービスのデータベース内に保存されているのだが、一般ユーザーでもディレクトリサービスにアクセスするコマンド(dscl)を使ってパスワードのハッシュを読むことができるとのこと。10.6以前では一般ユーザーではアクセスできなかったが、10.7でこのように変更されたそうだ。

 パスワードが直接閲覧できるわけではないが、ハッシュを読まれてしまうと総当たり攻撃などによってパスワードを解読されてしまう可能性がある。

 スラッシュドットのコメントを読む | OS | セキュリティ | mainpage | MacOSX | アップル

 関連ストーリー:
OS X 10.7 Lion に隠されている (?)「Wi-Fi 診断」アプリ 2011年09月12日
Mac OS X Lion Server、MySQLからPostgreSQLに「スイッチ」 2011年08月04日
Mac OS X "Lion" からは Samba が削除される ? 2011年03月25日
「よく使われる危険なパスワードTop500」にご注意を 2009年01月06日

 

関連記事

最新記事